Uma atividade maliciosa que visa uma falha de gravidade crítica no plugin do WordPress ‘Better Search Replace’ foi detectada, com pesquisadores observando milhares de tentativas nas últimas 24 horas.
Better Search Replace é um plugin do WordPress com mais de um milhão de instalações que ajuda nas operações de busca e substituição em bancos de dados ao mover sites para novos domínios ou servidores.
Os administradores podem usá-lo para buscar e substituir um texto específico no banco de dados ou lidar com dados serializados, e ele oferece opções de substituição seletiva, suporte para WordPress Multisite, e também inclui uma opção de “teste” para garantir que tudo funcione bem.
O fornecedor do plugin, WP Engine, lançou a versão 1.4.5 na semana passada para corrigir uma vulnerabilidade de injeção de objeto PHP de gravidade crítica rastreada como CVE-2023-6933.
O problema de segurança decorre da desserialização de entrada não confiável e permite que atacantes não autenticados injetem um objeto PHP. A exploração bem-sucedida pode levar à execução de código, acesso a dados sensíveis, manipulação ou exclusão de arquivos, e acionar uma condição de negação de serviço de loop infinito.
A descrição da falha no rastreador do Wordfence afirma que o Better Search Replace não é diretamente vulnerável, mas pode ser explorado para executar código, recuperar dados sensíveis ou excluir arquivos se outro plugin ou tema no mesmo site contiver a cadeia de Programação Orientada a Propriedades (POP).
A explorabilidade das vulnerabilidades de injeção de objeto PHP geralmente depende da presença de uma cadeia POP adequada que possa ser acionada pelo objeto injetado para realizar ações maliciosas.
Os hackers aproveitaram a oportunidade para explorar a vulnerabilidade, pois a empresa de segurança do WordPress Wordfence relata que bloqueou mais de 2.500 ataques visando o CVE-2023-6933 em seus clientes nas últimas 24 horas.
A falha afeta todas as versões do Better Search Replace até 1.4.4. Os usuários são fortemente recomendados a atualizar para a versão 1.4.5 o mais rápido possível.
As estatísticas de download no WordPress.org registraram quase meio milhão de downloads na última semana, com 81% das versões ativas sendo 1.4, mas sem clareza sobre o lançamento menor.
Atualização 25/1 – O Wordfence disse ao BleepingComputer que inicialmente usou uma regra ampla para detectar a atividade descrita acima, e como resultado, algumas das tentativas registradas dizem respeito a outras falhas, como o CVE-2023-25135. No entanto, a maioria dos ataques é atribuída a tentativas de exploração do CVE-2023-6933.
Com informações do BleepingComputer
